首先,有两种常用的方法。
浏览器端的安全控制,淘宝银行鲲等采用这种方法。优点是安全系数高,缺点是投资大;
使用ssl完成登录,安全系数一般,投资低(需要ssl证书)
至于在后续加密之前使用js,原则上它没有任何意义。正如他所说,js是简单的文本,因此解读它并不困难。
如果要开发的应用程序具有安全性要求,建议使用ssl方法。如果安全要求非常高,请选择安全控制。
实际上,对于80%的网站而言,登录信息的安全性并不重要,尤其是捕获产生泄漏的数据包的可能性极低。因为包裹的捕获实际上是一个非常高的技术门槛,如果被盗帐户没有很高的价值,很少有人会这样做。与微博,QQ等一样,服务提供商仅提供多种安全保护,但不会对发送帐户的过程提供太多保护。
99%的帐户丢失问题来自特洛伊木马,通过监控键盘事件来完成盗窃,而这种行为根本无法做到。甚至上面提到的两种加密方法也是相同的。
对于常见网站,通常的方法是为经过身份验证的用户要求安全邮箱。当密码丢失时,可以通过安全邮箱重置密码,这已足够。建议不要尝试使用其他手机来检索密码。 ***链接功能,除非你网站是足够强大,人民安全的一些知识并不在原因不明的网站上输入自己的手机号码和*。 **。以同样的方式,即使你提供了一个安全,许多人可能会选择不安装它,因为它不能证明所提供的安全控制是安全的。
不要想太容易抓到这个包。谁知道用户何时登录,它将来自何处,何处发送,24小时内无法观看?这个价格已被大量盗窃,即使数千美元也没有价值。这不是徒劳的吗?任何能以这种方式窃取信息的人,你认为他会对少量的钱感兴趣吗?除非有人花钱,否则请他们恶意攻击您的网站。它也很简单,一般来说,要注意备用井。它类似于洪水地震的概率。 [回应俞天盛(49票):看到的答案上面,我真的觉得信息安全的保护目前了解太低,甚至一些基本的保护措施可能会被认为是“没有必要的”。我同意@任冬的观点是懒惰的,不注意安全性。没有理由道歉。正如@lumin所说,信息安全保护实际上分为两部分,最后的安全性(可以是客户端和服务器特定的)和链路的安全性,即传输过程中的安全性。?总的来说,我们可以认为结局是可信的。对于服务器端,您愿意使用该公司提供的服务。隐含条件是信任提供服务的公司,因此可以认为服务器端更安全。
愿意使用这台计算机的客户也表明他相信这台计算机更安全。仅对于某些具有较高安全级别的服务(例如在线交易),才需要对客户端的安全性进行额外验证。但是,很难真正保证客户安全,您需要使用可信计算等技术。使用可以保护客户的安全主要是因为鲲PSP iOS设备也可以被破译,所以这个问题一直没有完善的公共设备。
一般来说,我们认为您绝对不会在计算机上安装特洛伊木马。该网吧的负责人一般不被黑客,或者在网吧的电脑上安装了木马。因此,保护的重点应侧重于通信链路,而不是结束,链路的拦截更加有效,很难找到不是攻击的大部分时间。
一个很简单的例子,如果我在一个人口稠密的居民区使用一台笔记本电脑,创建一个WiFi热点没有密码,我向你保证,很多人试图连接到网络的连接,然后如果我使用Wireshark(或者我写与WinPcap的筛选)),听转发的无线网络接收的数据包,您可以拦截大量的用户名和密码,至少,如果知道的话,用户名和密码,我可以得到的。这个例子还表明你不应该急于拍打其他人的WiFi,这对你来说是一种非常危险的行为。
即使不需要安装额外的黑客软件,在网络上实施窃听也非常容易。在很多情况下,我们并不关心传输内容的盗窃。不害怕别人知道什么看新闻,我害怕别人知道我回答这个问题,但信息的身份认证,如用户名和密码是没有办法可以窃取,因为它会导致一系列其他安全问题。丢失CSDN后,每个人都可以更改密码来解释问题。在密钥认证信息被传输时加密是非常必要和重要的。至于安全性的成本,我认为开发人员薪水超过10万每年,从三,五千每年的SSL证书是在一个网站的一记耳光。 [响应任东(票17)]:懒惰,不注重安全。没有理由原谅这一点。总体而言,使用的是https登录界面还是相当(技术实现比较简单),但在第一时间打开速度太慢的问题。比http方法慢得多?许多游戏登录都是这种方式,例如:
http://sdo.com的登录方法是https
http://passport.the9.com也是
为了保证导航速度,您可以使用js加密。
使用js加密,可以使用非对称加密技术,例如:rsa加密算法,即使中间拦截数据包,也不知道真正的密码。
Qq使用js加密登录,例如:http://t.qq.com
weibo.comhttp://的登录名也使用http + js加密
优点是速度快。
两种解决方案在传输过程中都是安全的,这通常就足够了。
如果您仍想解决条目的安全性,则只能安装浏览器加载项。例如,许多银行会话开始,支付会话开始,将有需求,这取决于补充和操作系统的组合的接近度;我以前的主管可以编写程序来拦截已安装的银行加载项的击键记录。
最好的事情是培养这种关注。
[余航回答(3票)]:
修复了其他答案中的问题。
Js加密(如腾讯)没有安全性,攻击者只需要替换他访问的整个页面。如果共享路由器,使用ARP病毒应该很容易。
根据类似的逻辑,只要用户在登录时没有将地址看作https,任何“其他方法”都是不安全的。没有必要讨论js或类似的程序。
即使您使用加载项登录,在许多情况下,攻击者也可以修改页面,以便输入框根本不使用加载项。然后,除非插件能够验证页面的内容,否则您无法使用https。即使使用https,一些附加组件也无法阻止攻击者忽略本地病毒等问题的附加组件。
例如,在Linux和Firefox上成功验证了以下GreaseMonkey脚本。 Windows和其他浏览器不会一个接一个地尝试(如果Windows不起作用,有一个合理的解释,Linux版本仅用于防止Windows用户访问“不太安全”。页面)。以下脚本仅用于验证概念。如果您真的使用它来攻击,您必须首先使页面看起来像官方支付宝页面。您还可以自动安装Firefox脚本。最好避免用户检测,并让用户认为登录不是由于网络错误或密码错误。 //==UserScript==//@name支付宝黑客测试//@namespace afdsjalfwhahefhwadskla //@includehttps://www.alipay.com/?@version 1
@grant无
//==/==UserScript
document.body.innerHTML=''
因此,补充经常欺骗自己。您可以防止一些流行病毒的行为,但很难说是否瞄准的攻击也有帮助。仅仅考虑网络的安全性,使用https,而无需额外的配件。
此外,考虑到病毒的影响,直接用自己的一些客户的身份验证方法都不能保证安全。例如,一个病毒作者会创建一个登录框,并替换为QQ.exe。有没有方法预防QQ。只有用户很快就会发现问题,因为登录不增加。您可以对QQ的影响不大,但是想象一下,如果银行采用了类似的方法,该病毒可以立即销毁文件系统的攻击者获得密码后,切断用户的网络和蓝屏或类似隐藏避免用户。我们直接与银行接触,且攻击者立即传送用户的存款。这只是该病毒的大小可能是有点大,并观察当前的速度可能不是一个大问题。
如果网络速度是比较快的,USB钥匙也可以作为一个程序来与硬件进行远程交互。然后,攻击者安装了一个虚拟控制器硬件。您不能使用虚拟机。有些设备可以解决这些问题,毕竟,这是不太可能的网络没有延迟和带宽是有限的。某些设备不可用,或者目的只是为了避免依赖于密码。
但是,例如,使用SMS验证,确保手机是不是中毒了,或者例如,使用带有显示器的USB钥匙,应该是安全的。然而,平均网站,个人认为不会受到盗版不需要引起的中毒用户自己的问题上下功夫。这是用户和杀毒软件的责任。
此外,有些人在存储明确密码方面存在概念错误(以下专业人员无需查看)。显然,密码的存储并不妨碍某人使用用户密码登录其他网站。相反,在网站自己的数据库被过滤后,它会阻止任何人使用过滤后的密码直接登录您的网站。 “从技术上保证网站的密码不能用于登录到另一个网站”不应该是网站的责任,而应该是浏览器应该做什么,尽管目前没有浏览器。所谓的服务器数据库的密码加密实际上是一个不可逆的散列,在散列后直接与数据库进行比较。但是,如果加密js(或https加密)使用相同的方法,如果攻击者获得加密的内容,则可以省略加密步骤js,并且可以直接验证加密的内容。因此,任何客户端加密方法都必须确保加密数据不能重复使用两次。所使用的算法通常应该是可逆的,并且存在其他方案,例如不可逆算法,其中操作的顺序可以互换。?因此,加密有三种不同的含义:1。用户在不同的网站上使用不同的密码; 2.传输过程中的加密; 3.加密网站本身。如果要实现目标,则没有两个可以共享相同的加密过程。第一个趋势似乎有一个额外的日志上与实现在浏览器这个功能单一帐户多种服务。事实上,也有一定的安全隐患,因为一些小的网站,是不是重要的是可以用QQ微博帐号登录鲲在和一些购物网站也可以使用QQ账号微博鲲登录。在已知某些情况下是不安全的,因为一些网吧,人们担心安全问题,想登录到小网站有问题。
上海IT外包服务网 链接:http://www.linemore.com
中文
电话咨询
微信咨询
公众号
